Escolar Documentos
Profissional Documentos
Cultura Documentos
Criptografia e Prevenção de Intrusão em Sistemas
Criptografia e Prevenção de Intrusão em Sistemas
=
Onde: n nmero de eventos;
P
i
a distribuio da probabilidade;
Hs varia entre 0 n
2
log que determina o grau de caoticidade da distribuio de
probabilidade Pi e pode ser usada para determinar a capacidade do canal necessria para
transmitir a informao;
Observaes:
Hs =0, concentrao mxima (todo o trfego para um nico ponto);
Hs =
max
Hs , dispero total (trfego distribudo uniformemente com probabilidade
de 1/n).
Podemos concluir que quanto maior a Entropia, mais disperso est o trfego e
melhor funciona o sistema. Quanto maior a proximidade da probabilidade de um evento
ocorrer em determinado ponto do sistema, mais disperso este ser, e assim vice-versa. Fica
ento a frmula definida da seguinte maneira:
57
n
n n
Hs
n
i
2
1
2
max
log
1
log
1
=
=
=
6.2.3 Entropia e sua utilizao na deteco de anomalias
Atravs do fluxo de dados podemos agrupar o fluxo de entrada e de sada por cada
ponto de domnio. Assim, podemos calcular as probabilidades de cada ponto de entrada
chamado origem e cada ponto de sada chamada destino. A partir desse conceito podemos
definir quatro categorias importantes quanto deteco de anomalias:
1. Origem concentrada e destino concentrado (CC);
2. Origem concentrada e destino disperso (CD);
3. Origem dispersa e destino concentrado (DC);
4. Origem dispersa e destino disperso (DD).
Analisando a ilustrao abaixo veremos a indicao de trfego de entrada e sada
nos pontos de presena: Na figura 15, as setas maiores indicam um grande volume de
trfego, enquanto que as setas menores indicam menor trfego nos demais pontos. Se todas
as setas estiverem com o mesmo tamanho ento isso indicar que o padro de trfego est
uniforme. Veja figura 15:
58
Figura 15: Demonstrativo de concentrao disperso de trfego num domnio IP.
Anlise:
1 caso: O trfego entra predominantemente pelos pontos 1 e 6 e sai com maior
concentrao pelo ponto 5, caracterizando um padro definido como Concentrado-
Concentrado (CC);
2 caso: O trfego entra predominantemente pelos pontos 1 e 6 e sai aps o
roteamento distribudo uniformemente por todos os pontos de presena restantes
caracterizando o padro Concentrao-Disperso (CD);
3 caso: O trfego entra uniformemente distribudo por todos os pontos e sai de
forma concentrada pelo ponto 5 caracterizando o padro Disperso-Concentrao (DC);
4 caso: O trfego entra e sai uniformemente distribudo por todos os pontos,
caracterizando o padro de trfego Disperso-Disperso (DD).
Na figura 16 mostraremos como um padro de trfego pode determinar algumas
situaes em que h ocorrncia de anomalias.
59
Figura 16: Como se caracteriza uma anomalia atravs dos padres de trfego.
Anlise:
1 caso: Transmisso Multicast onde o ponto de presena 2 recebe todo o trfego e
aps sua replicao no domnio retransmitida pelos ponto 5, 6, 7 e 8 definindo um trfego
CD (Concentrao - Disperso);
2 caso: Trata-se de um Ataque Distribudo de Negao de Servio (Distributed
Denial of Service - DDoS) e neste caso feito por intermdio dos pontos 1, 2, 3 e 4 onde
estes recebem os fluxo com os endereos destinados a um nico ponto, neste caso o ponto
6, assim sendo define-se um padro de trfego DC ( Disperso Concentrao).
6.2.4 Entropia No Extensiva de Tsallis Clculo e Utilizao na deteco de
anomalias
6.2.4.1 Clculo da Entropia No Extensiva de Tsallis
A Entropia No Extensiva de Tsallis uma generalizao da Entropia de Shannon.
1
1
1
=
=
q
Pi
Hq
n
i
q
Onde: n o total de elementos;
60
P
i
a probabilidade de um evento ocorrer;
q define o grau de extensividade do sistema, ou seja, a sensibilidade do
sistema quanto deteco de anomalias.
logo: 0 <=P
i
<=1 e
i
P
i
=1;
O clculo de Entropia de Tsallis tem uma certa equivalncia com a de Shannon com
isso podemos comprovar que se trar de uma generalizao.
O resultado do valor de Entropia varia entre 0 que significa concentrao mxima e
max
q
H
que significa disperso total onde:
1
1
1
max
=
q
n
H
q
q
A diferena dessa frmula de Tsallis para a de Shannon a introduo do parmetro
q cujo termo vai determinar o grau de extensividade do sistema. Tambm cabe mencionar
que a variao da probabilidade dos eventos no clculo de Shannon no influencia tanto no
resultado final da Entropia. J no clculo de Tsallis define-se o valor de q onde:
q >1: eventos com maiores probabilidades acarretam maiores alteraes no valor da
Entropia do que eventos de menores probabilidades;
q <1: eventos com menores probabilidades acarretam maiores alteraes no valor da
Entropia do que eventos de maiores probabilidades;
6.2.4.2 Uso da Entropia No Extensiva de Tsallis na deteco de anomalias
A idia da aplicao da Entropia No extensiva de Tsallis se d de forma prtica
pela utilizao direta do parmetro q, existente na frmula, que define a sensibilidade do
sistema quanto deteco de anomalias. Pode-se definir o quanto de deteco se quer no
nosso sistema. Portanto, como estamos sempre em busca do melhor controle no sistema de
deteco, buscaremos tambm sempre um q timo que definir o melhor controle de
sensibilidade do sistema no problema em questo, que no nosso caso a deteco de
intrusos.
61
7 Equipamentos e Programas
Vrios equipamentos e programas de IDS e IPS esto disponveis atualmente. Como
IDS destacamos o Snort, e citamos o Ossec HIDS e como IPS citamos os Appliances e o
HLBR. Cabe salientar que o objetivo dar maior destaque para o Snort como IDS.
7.1 Snort
O Snort um sistema de deteco de intruso
baseado em rede, onde aplicado em segmentos de
rede para deteco de intrusos. uma ferramenta muito
utilizada por administradores de rede, pois uma
ferramenta leve e de fcil instalao que capaz de fazer o escaneamento de rede com
grande confiabilidade. Assim, o objetivo aqui fazer uma descrio mais detalhada do
programa e mostrar onde baixar e como instalar.
O cdigo fonte utilizado o C e de domnio pblico, por isso o cdigo
constantemente atualizado e as regras de deteco tambm.
Os mdulos do Snort so capazes de monitorar tanto o cabealho quanto o contedo
dos pacotes e ainda disponibiliza a opo de capturar uma sesso inteira.
O Snort faz monitorao do trfego de pacotes em redes IP, sobre diversos
protocolos (rede e aplicao) e sobre contedo (hexadecimal e ASCII). Atravs de
argumentos na linha de comando possvel ativar o subsistema de registros e alertas, onde
existem trs opes de registros e cinco de alertas. Esses registros podem ser configurados
para armazenar pacotes decodificados em uma estrutura de diretrios baseados em IP, ou
no formato binrio do tcpdump. Esse registro pode ser desabilitado para um melhor
desempenho permanecendo assim somente os alertas.
Alertas podero ser enviados a um editor de texto como texto puro. Existe a opo
tambm de desabilitar os alertas.
Uma boa opo para aumentar a base de dados do Snort utilizar o Sniffer. Este ir
capturar uma parte do texto ou uma string binria que passou pela ferramenta de ataque
para o servidor. Assim basta adicionar os caracteres significativos dessas strings como um
descritor de contedo do Snort.
62
7.1.1 Requisitos de sistema
Para a implementao do Snort, deve-se levar em considerao alguns fatores. Por
exemplo, os dados gerados pelo Snort necessitaro de espao em disco suficiente para sua
armazenagem. Caso o administrador queira uma monitorao remota deve-se instalar o
SSH e Apache com SSL, quando estamos trabalhando com Linux ou Unix. Caso o sistema
seja Windows temos que ter um Terminal Services com limitaes sobre quais usurios e
mquinas podem se conectar e servidores IIS (Internet Information Server).
7.1.2 Componentes de Hardware
Se o Snort estiver no modo de sistema de deteco baseado em rede (SDIR), ser
necessria uma unidade de disco rgido bastante grande devido ao nmero de dados
gerados.
interessante uma segunda interface Ethernet. Uma interface para conectividade
tpica (SSH, servios da Web e etc) e outra para o uso no Snort que funcionar como um
sensor.
A placa de interface de rede tambm importante, pois, se a rede for de 100MB a
placa dever ser tambm de 100MB, para se poder utilizar toda a largura de banda.
7.1.3 Plataforma
O Snort funciona em praticamente todos os sistemas operacionais da atualidade.
Entre eles esto: Linux, FreeBSD, NetBSD, OpenBSD, Windows, e tambm, Sparc Solaris,
PowerPC MacOS X e MKLinux, e PA-RISC HP-UX.
7.1.4 Opcionais
Alguns softwares podem ser instalados para acrescentar funcionalidades na
utilizao do Snort:
MySql, Postgres ou Oracle (bancos de dados SQL);
63
Smbclient se estiver usando mensagens WinPopup;
Apache ou outro servidor web;
PHP ou Perl, se tiver plug-ins que os exigem;
SSH para acesso remoto (ou Terminal Server com o Windows);
Apache com recursos de SSL para monitorao (ou IIS para Windows).
7.1.5 Arquitetura
O Snort oferece um conceito de plug-ins que so utilizados para personalizar a
implementao de seus componentes, que so: o Farejador, o Pr-processador, o
Mecanismo de deteco e a Sada.
Esses plug-ins so programas que so escritos para se adaptarem com a API de
plug-in do Snort.
7.1.6 Farejador
O farejador basicamente um sensor que ouve todos os pacotes IP que passam pela
rede. Esses pacotes podem ser de vrios tipos de trfegos de rede, incluindo TCP, UDP,
ICMP, ento o farejador pega esses pacotes e os torna em algo legvel para o administrador.
7.1.7 Pr-Processador
Algumas das funes de um pr-processador so: a remontagem de pacotes, a
decodificao de protocolos e a deteco baseada em anomalias. O pr-processador verifica
os pacotes com vrios tipos de plug-ins, assim, definido seu comportamento envia para o
mecanismo de deteco.
7.1.8 Mecanismo de deteco
O Mecanismo de deteco o componente mais importante no Snort, pois a que
so configuradas as regras para anlise dos dados, e onde se decide se os dados vo ser
recebidos, se vai ser gerado um alerta, ou se os dados vo ser descartados.
Uma regra consiste basicamente de duas partes:
O cabealho da regra: que a ao a ser executada (um log ou alerta), onde est o
tipo de pacote (se UDP, TCP, ICMP e etc), endereos IP e portas de origem e destino;
64
A opo da regra: o contedo do pacote, que deve corresponder regra.
Para uma melhor otimizao do programa o administrador poder escrever regras no
IDS.
7.1.9 Sada
A sada um componente que alerta e registra os ataques direcionados rede. Toda
vez que o mecanismo de deteco registra algum ataque, um alerta gerado. Esses alertas
podem ser enviados para um arquivo de eventos, por meio de uma conexo de rede, atravs
de soquetes UNIX ou Windows Popup (SMB). Tambm podem ser enviados a um banco
de dados SQL.
Atravs de arquivos syslog (arquivos de eventos) ligados a um servidor de Web os
alertas podem ser enviados via e-mail para o administrador.
7.1.10 Problemas na execuo do Snort
Todos os programas tm seus pontos fracos e o Snort tambm tm alguns. Os
principais so: no pegar todos os pacotes, alertas de falsos positivos e alertas de falsos
negativos.
O Snort pode no pegar todos os pacotes devido velocidade da rede e velocidade
da interface promscua.
O alerta de falso positivo acontece quando o Snort alerta sobre determinada invaso
e ela no existe, ou melhor, trata-se de uma ocorrncia normal que o administrador no
precisava ser alertado. Isso acontece quando se utiliza um conjunto de regras padro do
Snort. J o falso negativo o contrrio. quando no detectado uma invaso ou
comprometimento de um sistema monitorado por um IDS.
7.1.11 Melhorando a segurana do Snort
O Snort est sujeito a todo tipo de ataques e h vrias maneiras disso acontecer. O
administrador geralmente acessa o sistema de forma remota (SSH), armazena os dados
coletados em um banco de dados (MySql ou Postgres) e tambm utiliza interfaces para
visualizao dos alertas gerados o que necessita de um servidor Web como o Apache ou o
65
IIS. Por isso sempre importante estar atento as novas vulnerabilidades de segurana e nos
anncios de segurana de sistemas operacionais.
Para melhorar a segurana do Snort alguns procedimentos podem ser tomados:
Desative os servios que no so necessrios para o sistema por exemplo, FTP,
NFS e NIS;
Mantenha a integridade do sistema o Tripware protege contra Cavalos de Tria;
Use firewall ou envelope (traduo) TCP nos servios Alguns servios so
vulnerveis como SSH e MySql por isso devem ser traduzidos em TCP ou
protegidos com firewall, pois estes servios tambm tm seus problemas com
segurana;
Utilize criptografia e autenticao de chave pblica Na utilizao do Apache para
ver eventos, recomendvel que se utilize o Apache-SSL e certificados digitais para
autenticao no lado do cliente;
Atualize aplicativos e sistema operacional importante atentar para anncios
referentes aos aplicativos e sistema operacional utilizado independente do sistema.
7.1.12 Instalando o Snort
Aps tanto falar do Snort colocamos neste tpico algumas instrues de como fazer
instalao do Snort e de quais ferramentas podem auxiliar na implementao do
programa.
Cabe salientar trs programas: Snort +ACID +MySql.
O Acid (Analisys Console for Intrusion Databases) muito utilizado para analisar
eventos do Snort e para sua apresentao em uma interface WEB.
J o MySql ser utilizado como banco de dados para armazenar os registros de
ataques .
7.1.13 Pr-Requisitos
Linux;
Servidor Web Apache;
Interpretador PHP4;
MySql.
66
O download dos pacotes acima podero ser encontrados em:
http://www.linuxpackages.net/
7.1.14 Instalao
Entre no site http://www.snort.org/dl/ e faa o download do arquivo de instalao do
SNORT. Descompacte o arquivo:
#tar xzvf snort-2.6.0.tar.gz
#cd snort-2.6
Compilando o snort com suporte ao MySql.
#./configure with-mysql=/usr
#make
#make install
Se tudo correu bem seu Snort est instalado, mas ainda faltam alguns ajustes. Crie
uma pasta chamada regras no /etc:
#mkdir /etc/regras
Para baixar as regras ou rules, em ingls, entre no site http://www.snort.org/pub-
bin/downloads.cgi Aps o download descompacte o arquivo na pasta /etc/rules
#tar xzvf snortrules-*.tar.gz
#mv snortrules-*/* /etc/rules/
7.1.15 Base de dados do SNORT
Primeiro necessrio criarmos a base de dados que ser usada para armazenar o
registro dos ataques, e um usurio que ter permisso para adicionar esses registros na base
de dados.
#mysql -u root -p
mysql>create database snort;
mysql>grant all privileges on snort.* to snort@localhost identified by 12345;
67
mysql>quit
Agora iremos criar as tabelas na database para o funcionamento do SNORT. Entre
no diretrio onde o snort foi descompactado e execute o comando abaixo:
#mysql -u root -p snort <schemas/create_mysql
7.1.16 Configurao do SNORT
O arquivo de configurao do SNORT encontra-se na pasta /etc. Voc dever edit-
lo de acordo com suas necessidades. Alguns campos devem ser alterados obrigatoriamente,
para isso siga as instrues abaixo:
#vi snort.conf
Agora altere o campo var HOME_NET para o IP da mquina ou rede que ir
monitorar, e tambm o campo var DNS_SERVERS para o endereo do seu DNS, evitando
assim que o SNORT crie alerta com os acessos vindos do mesmo.
Procure a linha abaixo e deixe-a descomentada.
output database: log, mysql, user=snort password=12345 dbname=snort
host=localhost
Essa linha faz com que todos os logs do SNORT sejam gravados no banco de dados
para que posteriormente sejam mostrados pelo ACID.
Feito isso salve e saia do arquivo ( :wq! ).
7.1.17 Configurao do ACID
Voc pode encontrar o ACID para download no site http://www.cert.org/kb/acid.
Tambm necessrio baixar o ADODB para o perfeito funcionamento do ACID. O
download pode ser feito no link:
http://prdownloads.sourceforge.net/adodb/adodb491.tgz?use_mirror=ufpr
Aps o download do arquivo descompacte-o na pasta /var/www/htdocs
68
#tar xzvf acid-0.9.6b23.tar.gz -C /var/www/htdocs
Descompacte o ADODB dentro da pasta acid.
#tar xzvf adodb491.tgz -C /var/www/htdocs/acid
Agora entre na pasta criada e edite o arquivo acid_conf.php
#cd /var/www/htdocs/acid/
#vi acid_conf.php
Ento altere os campos abaixo:
$DBlib_path ="/var/www/htdocs/acid/adodb";
$alert_dbname ="snort";
$alert_host ="localhost";
$alert_port ="";
$alert_user ="snort";
$alert_password ="12345";
O prximo passo da configurao ser feito pelo seu navegador. Abra um navegador
de sua preferncia e entre no endereo http://localhost/acid
Depois de abrir o endereo acima, clique no link Setup Page, depois disso ele estar
pronto para o uso.
7.1.18 Iniciando e Testando o Snort
Para iniciar o Snort digite a linha de comando abaixo:
#/usr/local/bin/snort -D
Para testa-lo, entre em algum outro computador e tente varrer as portas abertas no
servidor onde est o SNORT.
Supondo que a mquina onde o SNORT est rodando tenha o IP 10.21.0.4, vou usar
a mquina 10.21.0.5 para varrer as portas:
69
#nmap 10.21.0.4
Agora na mquina 10.21.0.4 entre no seu navegador e entre no endereo
http://localhost/acid
Se durante a instalao tudo correu bem e o snort foi iniciado sem erros, ele ir
apresentar as tentativas de invaso [12].
7.2 Ossec HIDS
Como j foi dito um host IDS faz a monitorao de eventos de servidores e hosts,
detectando atividades suspeitas. Um IDS por intermdio de suas assinaturas analisa os
eventos e seus comportamentos, podendo tomar decises at mesmo de interromper todo o
trfego direcionado ao host que est sofrendo um ataque.
O programa OSSEC HIDS Opens Source e foi criado por Daniel Cid. utilizado
para fazer a anlise de eventos, gerar alertas e trazer respostas pr-ativas que so atitudes j
de IPS, mas que o programa tambm realiza.
Este programa pode ser baixado em http://www.ossec.net/files/ossec-hids-1.1.tar.gz
7.3 Appliance
Appliance todo equipamento que foi projetado e configurado para realizar
instrues especficas em um sistema. Esse equipamento baseado a partir de um software
genrico e otimizado para atender somente s atividades principais. Pode-se dizer que
uma juno bem conveniente entre hardware e software para determinado fim. Existem
tipos de Appliances para diversas reas tais como: informtica, biologia, engenharia e
matemtica. Os Appliances so customizados para o fim a que se destina e so imutveis.
Nas figuras 17 e 18 so mostrados dois modelos de appliance:
Figura 17 Modelo de appliance Fortigate 60
70
Caractersticas:
Fabricante: Fortinet;
Especificaes: Firewall, antivrus, anti-spam, VPN.
Vantagens: Duas portas 10/100 mantm a conexo redundante com a Internet;
Desvantagem: Na configurao padro no guarda em arquivos de eventos as
varreduras em portas feitas por possveis invasores;
Concluso: Modelo adequado para ambientes de mdio porte. [13]
Figura 18: Modelo de appliance Safe@Office 425 w
Caractersticas:
Fabricante: CheckPoint;
Especificaes: Roteador, VPN, firewall, ponto de acesso sem fio;
Vantagem: Possui porta especfica para servidores fora do firewall ou segundo link
de longa distncia.
Desvantagem: Funes adicionais, como antivrus e DNS, devem ser adicionadas
separadamente;
Concluso: Equipamento verstil, adequado para empresas de mdio porte. [13]
7.3.1 Appliances McAfee IntruShield Network IPS
uma proteo pr-ativa de infra-estruturas de rede e dos
terminais contra ataques desconhecidos, de DoS, spywares,
ataques VoIP, botnets, programas mal-intencionados, phishing
e ataques criptografados, utilizando uma preveno contra
intruses, de grande porte e que reconhece riscos, disponvel no
71
Appliance McAfee IntruShield Network IPS. [14]
Este equipamento permite atravs de seu sistema de preveno de intrusos que
empresas e provedores de servios aumentem sua segurana. Ele baseado em um Circuito
Integrado de Aplicao Especfica que protege de forma pr-ativa a rede contra ataques
conhecidos e desconhecidos, ataques de negao de servio e criptografados,
vulnerabilidades de VoIP, cavalos de Tria etc.
Este equipamento uma soluo de IPS com reconhecimento de riscos que
identifica e bloqueia as ameaas e ataques direcionados aos recursos da rede. Este bloqueio
realizado antes mesmo que os alvos sejam atingidos. A plataforma de fcil
gerenciamento o que permite uma proteo maior dos recursos da rede.
7.4 HLBR
O HLBR - Hogwash Light BR um projeto brasileiro, criado em novembro de
2005, derivado do Hogwash (desenvolvido em 1996) por J ason Larsen. Este projeto
destinado segurana em rede de computadores.
O HLBR um IPS capaz de filtrar pacotes diretamente na camada dois do modelo
OSI (no necessita de endereo IP na mquina). A deteco de trfego malicioso baseada
em regras simples (o prprio usurio poder confeccionar novas regras). bastante
eficiente e verstil, podendo ser usado at mesmo como bridge parahoneypots ehoneynets.
Como no usa a pilha TCP/IP do sistema operacional, ele "invisvel" a outras mquinas
na rede e atacantes.
Algumas caractersticas:
Encontra-se na verso 1.1 sua 6 verso;
instalado na camada dois do modelo OSI porm, atua tambm nas camadas 3, 4, 5
e 7;
um software livre;
Esta disponvel em http://hlbr.sourceforge.net.
72
8 Concluso
Implantar um IDS ou um IPS no to fcil como parece. Deve-se levar em conta
os sistemas de criptografia, a topologia da rede e os equipamentos, a velocidade da rede etc.
De maneira geral parece que os sistemas baseados em host atendem na maioria dos
casos. Os fabricantes desses tipos de produtos j esto com a preocupao para solues de
monitorao tanto do trfego enviado para a rede, como das atividades internas.
Cabe salientar que, em se tratando de IDS e IPS uma soluo nica no adequada,
pois existem vrios tipos de situaes em um mesmo ambiente.
Com relao implementao do conceito de Entropia na deteco de anomalias ou
intrusos, vimos que o conceito introduzido de Shannon para Entropia pode-nos ajudar
bastante para construo de sistemas capazes de fazer a deteco de intrusos, porm vimos
tambm que a Entropia No Extensiva de Tsallis permite uma melhor avaliao e
variao na percepo do nvel de caoticidade de um sistema.
Por fim vimos alguns programas de IDS e ferramentas de IPS que esto disponveis
no mercado e que devemos atentar na hora de escolher qual a mais adequada para uma
possvel implementao.
73
Referncias
[1] IDS Conceito. Disponvel em: <http://pt.wikipedia.org/>;
[2]CAUDLE Rodney. Assumptions in Intrusion Analysis Gap Analysis. Disponvel em:
<http://www.sans.org/reading_room/papers/download.php?id=1751>.
[3] Segurana de Redes IDS e IPS. Disponvel em:
<http://www.dei.unicap.br/~almir/seminarios/2004.2/ts04/ipsids/index.html>.
[4] Deteco de Intrusos com Snort. Disponvel em:
<http://www.4linux.com.br/whitepaper/snort_418.php;
[5] ANTUNES Chen Leonardo. Diferenas entre IDS e IPS. Disponvel em:
<http://www.mettasecurity.com.br/artigo003.html>;
[6] SILVEIRA Klaubert Herr da. Desafios para os sistemas de Deteco de Intrusos (IDS).
Disponvel em: <http://www.rnp.br/newsgen/0011/ids.html>;
[7] SOLHA Liliana Esther Velsquez Alegre; TEIXEIRA Renata Cicilini; PICCOLINI
J acomo Dimmit Boca. Tudo que voc precisa saber sobre os ataques DDoS. Disponvel em:
<http://www.rnp.br/newsgen/0003/ddos.html>;
[8] NOGUEIRA Toniclay Andrade BATISTA Othon Marcelo Nunes. Negao de Servio:
Implementaes, Defesas e Repercusses. Disponvel em:
<http://wwwlinhadecodigo.com.br>;
[9] GLEISER Marcelo.Tempo, Vida e Entropia. Disponvel em:
<http://www.fisicabrasil.hpg.ig.com.br/tempo_entropia.html>;
[10] Teoria da Informao Conceito. Disponvel em: <http://pt.wikipedia.org/>;
74
[11] SHANNON, C. E. 1948. A mathematical theory of communication. The Bell System
Technical J ournal;
[12] OLIVEIRA Fred I. de. Snort +ACID +MySQL. Porto Velho/RO. Disponvel em:
<http://www.dicas-l.com.br>.
[13]Info Online / Guia de Produtos / Produtos de Segurana. Disponvel em:
<http://info.abril.com.br/produtos/detalhe>;
[14] Appliances McAfee IntruShield Network IPS. Disponvel em:
<http://www.mcafee.com/br/enterprise/products/network_intrusion_prevention
[15] STANGER J ames; LANE T.Patrick; DANIELYAN Edgar. Rede Segura Linux.
Editora Alta Books.
[16] RAMALHO, NICOLAU, TOLEDO. Os Fundamentos da Fsica 2. Editora Moderna.
[17] CASTWELL Brian, editor tcnico da SNORT.org; BEALE J ay; FOSTER C. J ames;
POSLUNS J effrey, Consultor Tcnico. Snort 2 Sistema de Deteco de Intruso Open
Source. Editora Alta Books.
[18] MONSORES Marcelo Lus; ZIVIANE Artur; Rodriguez Paulo Srgio Silva. Deteco
de Anomalias de Trfego usando Entropia No-Extensiva. Laboratrio Nacional de
Computao Cientfica (LNCC/MCT).Trabalho com participao de aluno.